eHealth: Every bodys tomorrow?

eHealth, Wearables, personalisierte Produkte und Dienstleistungen sind Teil eines wachsenden Marktes. In diesem Bereich werden enorme, sensible Datenmengen verarbeitet, die Risiken für Betroffene darstellen – aber auch für die verarbeitenden Stellen. Hier erfordern innovative Produkte innovative Lösungen.

eHealth-Markt wächst und mit ihm die Herausforderung im Datenschutz

Google hat Statistiken über das US-amerikanische bzw. globale Suchverhalten u.a. im Bereich eHealth (Electronic Healthcare) veröffentlicht, die das Potential dieser Technologien verdeutlichen. Im Zeitraum 2013 bis 2014 hat sich das Suchvolumen über Informationen und Produkte zum „Internet der Dinge“ mehr als verdoppelt. Im selben Zeitraum stiegen die Suchen zu sog. „Wearables“ – am Körper getragene, internetfähige und oftmals autark funktionierende Technologien wie Smart Watches – bei gesundheitsbewussten Personen um das Dreifache. Die Suche nach Gesundheits- und Fitnessapps hat sich im genannten Zeitraum sogar verzwölffacht. Erkennbar ist somit ein Trend, der für Unternehmen in diesem Bereich auch (datenschutz-)rechtliche Herausforderungen birgt.

Sensible Gesundheitsdaten im Zentrum der Herausforderung

Herzstück der angebotenen Produkte und Dienstleistungen des eHealth sind sensible Gesundheitsdaten. Die besondere Herausforderung besteht darin, dass sensible Gesundheitsdaten erhoben und gespeichert werden und dies ist Zukunft je nach Produkt und Dienstleistung mitunter ständig und ohne Unterbrechung. Am Verarbeitungsprozess sind häufig viele Stellen beteiligt: Betreiber des Betriebssystems der Smart Watch ist beispielsweise Googles Android Wear, Betreiber der App ist ein Software-Entwickler, Gerätehersteller ist Sony. Hinzu kommen Dritte wie Serverbetreiber, Wartungsdienste und Zulieferer. Nicht selten haben alle Zugriff auf die Daten.

In naher Zukunft wird mit dieser Technik die lückenlose Erfassung des Gesundheitszustandes eines Menschen möglich sein. Diese Umstände sind ein Grund für die verbreitete Skepsis, die viele potenzielle Nutzer von eHealth haben. Rechtsunsicherheit und fehlende gesetzliche Rahmenbedingungen sind ein Faktor, der das Potenzial dieser neuen Technologien hemmt, wie die Analyse der Unternehmensberatung A. T. Kearney zeigt.

Eine Herausforderung für die wachsende Branche ist deshalb die datenschutzkonforme Gestaltung ihrer Produkte und Dienste, speziell im Bereich der mHealth (Mobile Health, einem Segment der Electronic Healthcare), wo oftmals Apps auf privaten Smartphones, Tablets und Wearables der Kunden die Verarbeitung der Daten übernehmen sollen.

Entwickler und Dienstleister müssen viele Fragen beachten und eine passende Antwort finden

Die Herausforderung beginnt bei der Notwendigkeit der Einwilligung nach § 4a BDSG, die der Nutzer der App über die Verwendung seiner Daten erteilen muss. In der Praxis ist es keine Seltenheit, dass Nutzer eine App installieren und starten, ohne dass sie ausreichend auf die Nutzung ihrer Daten auch durch Dritte, Weiterleitungen und eventuelle Widerspruchsmöglichkeiten hingewiesen worden wären. Häufig sind Datenschutz- und Datennutzungsbestimmungen zudem nicht ausreichend prominent platziert. Dies ergab eine Überprüfung des Bayerischen Landesamts für Datenschutzaufsicht. Der Frage nach der Rechtmäßigkeit der Erhebung der Daten schließt sich unmittelbar die Frage nach der Sicherheit der datenverarbeitenden Technik an, ebenso die rechtlichen Hürden bei einer eventuellen Übermittlung der Daten ins Nicht-EU-Ausland. Hinsichtlich der Zusammenarbeit mit bspw. Krankenkassen und Versicherungen ist an den besonderen Schutz von Sozialdaten und Patientendaten (§ 3 Abs. 9 BDSG) zu denken. Zusätzlich dazu besteht hier eine besondere Vertrauensbeziehung, die besonders geschützt ist (§ 35 SGB I, § 203 Abs. 1, 2 StGB, Berufsordnungen).

Verbandsklagerecht wird Unternehmen mit deutlich mehr Klagen konfrontieren

Das erwartete Verbandsklagerecht bei Datenschutzverstößen wird für Unternehmen im Bereich eHealth eine neue Situation schaffen. Ist die Chance relativ gering, dass einzelne Nutzer Datenschutzverstöße erkennen und dagegen gerichtlich vorgehen, so ist zu erwarten, dass sich Verbände auf die Überprüfung von eHealth-Anwendungen konzentrieren werden – insbesondere bei steigender Relevanz dieser Technologien und Zahl der Nutzer. Die Anzahl gerichtlicher und rechtlicher Auseinandersetzungen wird für Unternehmen der eHealth-Branche im Zuge der Entwicklung zunehmen. Mit der Verabschiedung des geplanten E-Health-Gesetzes, das Bundesgesundheitsminister Hermann Gröhe im vergangenen Jahr angekündigt hat, wird das Thema Datenschutz bei Electronic & Mobile Healthcare auch endgültig bei den zuständigen Aufsichtsbehörden ankommen. Teilweise haben Datenschutzbehörden schon jetzt ein Augenmerk darauf gelegt, wie bspw. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Key to success: Privacy by design und rechtliche Begleitung von Anfang an

Die aufgezeigten Entwicklungen und Szenarien beziehen sich nur auf die nächsten Jahre und damit auf eine Periode, in der ein digitales und elektronisches Gesundheitssystem noch in den Kinderschuhen steckt. Sowohl die technische Entwicklung als auch die administrative Anpassung an diese werden wohl einen Massenmarkt schaffen, die Etablierung von eHealth als Standard in unserem Gesundheitssystem erscheint damit bereits jetzt als logische Konsequenz. In Anbetracht der rechtlichen Herausforderungen und der zugleich noch jungen Entwicklung lässt sich der – gerade von nationalen und europäischen Behörden favorisierte Grundsatz des privacy by design erfolgversprechend umsetzen. Von Anfang an lässt sich so – mit einer konsequenten rechtlichen Begleitung – ein Produkt datenschutzkonform entwickeln. Einwilligungen können gesetzeskonform eingeholt, eine rechtmäßige Verarbeitung der Daten sichergestellt werden.

Problemfelder gibt es in diesem Bereich zahlreiche: sei es die Speicherung der Daten (eigene Server, Drittanbieter, Clouds, Inland, EU, sog. „sichere Drittländer“ oder Drittländer, Zugriffsrechte und -möglichkeiten von Mitarbeitern oder Wartungspersonal von Dritten, Auftragsdatenverarbeitung), deren Übermittlung (z.B. dem Stand der Technik entsprechende Verschlüsselungen) oder die Löschung (z.B. Einhaltung gesetzlicher Mindestspeicherfristen). Exemplarisch sei an dieser Stelle der Streit um die Zulässigkeit der Übermittlung sensitiver Daten in Clouds außerhalb des Europäischen Wirtschaftsraumes erwähnt. Auseinandersetzungen mit Gerichten, Behörden und Verbänden können so aus der Welt geschafft werden, bevor sie entstehen und bevor das Produkt auf den Markt kommt. Neben den finanziellen Risiken einer juristischen Auseinandersetzung kann so auch ein Reputationsverlust des Unternehmens und des Produktes vermieden werden.

Chancen und Risiken der eHealth-Branche sind, so lässt sich abschließend feststellen, zahlreich. Mit einer von Anfang an begleitenden und maßgeschneiderten rechtlichen Beratung können die Chancen maximiert und die Risiken minimiert werden.